石輝+姚琦

摘 要：從企業(yè)內(nèi)部業(yè)務出發(fā)，優(yōu)化信息安全風險評估基本模型，設計了一個企業(yè)信息安全風險自評估實施模型，并深入分析了該模型的內(nèi)容，使其適用于企業(yè)依托自身力量來有效開展自評估活動，從而提高企業(yè)信息安全風險防護能力。

關(guān)鍵詞：信息安全；自評估；風險評估；模型設計

中圖分類號：TP309 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2017.12.019

企業(yè)信息安全風險評估主要有2種模式，即他評估和自評估。相比較而言，自評估展現(xiàn)出越來越多的優(yōu)點，比如外部依賴性小、投入費用低、評估周期短、次生風險低和可以提高內(nèi)部安全意識等。除此之外，信息安全風險的動態(tài)化決定信息安全評估工作應是長期持續(xù)的，大部分的內(nèi)部信息安全風險評估內(nèi)容企業(yè)可采用自評估方式來完成。但信息安全風險評估的專業(yè)性、技術(shù)性、標準性比較高，企業(yè)難以掌握復雜的評估技術(shù)和方法。本文以企業(yè)業(yè)務為出發(fā)點，對信息安全風險評估基本模型進行優(yōu)化，設計了一個更適用于企業(yè)依托自身力量來有效開展自評估的實施模型，以提高企業(yè)信息安全風險防護能力。

1 信息安全風險評估基本模型

對風險評估模型的研究一直是信息安全風險評估領域的研究熱點之一。風險評估基本模型是一種基于資產(chǎn)、威脅和脆弱性的信息安全風險評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，估價準則依賴于對其影響范圍的分析；威脅評估是對資產(chǎn)所受威脅發(fā)生可能性和威脅嚴重程度的評估；脆弱性評估是對資產(chǎn)脆弱程度的評估，也是對資產(chǎn)被威脅、利用成功的可能性的評估。

信息安全風險評估基本模型的評估過程就是對資產(chǎn)信息、威脅信息和脆弱性信息進行綜合分析評估并且生成風險信息的過程，包含確定評估范圍、資產(chǎn)識別階段、安全威脅/脆弱性評估、風險分析和風險管理等階段?；谛畔踩L險評估基本模型，很多學者從不同角度和目的做了優(yōu)化和完善。但是，信息安全風險評估模型的研究還處于探索和完善階段，已有的研究存在一些缺陷，主要表現(xiàn)為以下3點：①缺乏對評估內(nèi)容的逐層細化，難以評價和量化各要素，可操作性比較差；②缺乏對風險評估基本要素屬性的綜合思考，難以體現(xiàn)評估要素與企業(yè)業(yè)務的關(guān)系；③大部分模型比較復雜，評估方法和流程操作起來費時費力，企業(yè)難以采用。

2 基于基本模型的企業(yè)信息安全自評估模型

針對信息安全風險評估模型的不足，本文綜合考慮企業(yè)自身的業(yè)務和內(nèi)部約束條件，在基本模型和相關(guān)研究成果的基礎上，提出更加簡單、有效的企業(yè)信息安全風險自評估模型。本文認為，企業(yè)信息安全風險自評估模型應遵循自主、簡單、規(guī)范性、可行性和可擴展性的原則，基本思路是從企業(yè)業(yè)務出發(fā)，多角度研究自評估模型中資產(chǎn)、威脅、脆弱性的關(guān)系和指標，應用相關(guān)統(tǒng)計分析方法統(tǒng)計，運用層次分析法（AHP）評價、量化相關(guān)要素和風險，最終構(gòu)建一個科學、合理、可操作的企業(yè)自評估模型。在此過程中，需要解決3方面的問題：①明確評估的對象、內(nèi)容和流程；②構(gòu)建評價方法，統(tǒng)一評估和度量風險基本要素；③統(tǒng)一不同層面、角度的評估結(jié)果。

2.1 基于AHP的信息安全風險要素度量方法

AHP（Analytic Hierarchy Process，層次分析法）是一種定性分析與定量分析相結(jié)合的多目標決策分析方法，其基本步驟是：①分析問題，建立遞階結(jié)構(gòu)（評價模型）；②構(gòu)造比較判斷矩陣；③層次單排序；④一致性檢驗；⑤層次總排序與一致性檢驗；⑥選擇最優(yōu)的解決方案。

資產(chǎn)、威脅、脆弱性作為信息安全風險自評估模型的3個基本要素，需要分別識別和分析，并提煉出各自的評價指標。本文結(jié)合已有的理論和實踐成果，從自主性、簡單性、可行性和科學性原則出發(fā)，基于相關(guān)標準、企業(yè)環(huán)境和企業(yè)業(yè)務影響分析，提出信息資產(chǎn)的評價因素應包含經(jīng)濟、名譽、法律法規(guī)、業(yè)務運營、社會秩序、商業(yè)利益和個人利益，等等，威脅可能性評價指標應包含威脅攻擊力、威脅動機、資產(chǎn)誘因和威脅頻率等，脆弱性嚴重程度賦值的評價因素應包含可用性、機密性和完整性。

根據(jù)資產(chǎn)受到損害時對其評價因素帶來的損失為資產(chǎn)價值賦值（比如從1～4取值），數(shù)值越大，表明資產(chǎn)價值越高。得

到各評價因素的綜合分值后，分值最大的為該資產(chǎn)的價值，即資產(chǎn)價值為A=max（i）。根據(jù)威脅評價指標和脆弱性評價因素，利用AHP方法建立威脅、脆弱性評價體系，體系由目標層、準則層和指標層（方案層）構(gòu)成。為了方便對不同威脅發(fā)生可能性概率、不同脆弱性的嚴重程度進行類比、度量，使用統(tǒng)一的度量標準，采用相對等級的方式處理評價結(jié)果（比如從1～4取值），數(shù)值越大，威脅發(fā)生的可能性越高，帶來的損害越大。通過AHP用數(shù)量形式表達和處理個人主觀判斷結(jié)果，采用專家和團隊評分進一步比較各要素的重要性，并做一致性檢驗，最終確定各要素的值。

2.2 企業(yè)信息安全自評估風險計算

在對資產(chǎn)價值、威脅、脆弱性分析和量化后，還要確定各要素之間的組合方式和具體的計算方法?！缎畔踩L險評估規(guī)范》（2007）對風險值的計算提出了如下函數(shù)：

風險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））. （1）

式（1）中：R為安全風險計算函數(shù)；A為資產(chǎn)；T為威脅；V為脆弱性；L為威脅利用資產(chǎn)的脆弱性導致安全事件的可能性；F為安全事件發(fā)生后造成的損失；Ia為安全事件所作用的資產(chǎn)價值；Va為脆弱性嚴重程度。

信息安全風險值的計算方法主要有矩陣法、相乘法和預先價值矩陣查表法等，并且可以將多種方法結(jié)合使用。因為相乘法操作簡單，所以，在風險分析中的應用比較廣泛。該方法是一種定量的計算方法，主要思路是利用2個相關(guān)要素值的乘積計算出結(jié)果要素的值。按照簡單性、科學性原則，對于企業(yè)自評估，本文認為，相乘法比較適合企業(yè)使用，但不限于該方法。根據(jù)相乘法，企業(yè)信息安全風險值的計算過程是：①計算威脅利用資產(chǎn)的脆弱性導致安全事件的可能性，即L=L（T，V）=T×V；②計算安全事件發(fā)生后造成的損失，即F=F（Ia，Va）=Ia×Va；③計算風險值，即R=R（L，F(xiàn)）=L×F.

2.3 企業(yè)信息安全自評估模型和流程設計

企業(yè)信息安全風險自評估的基本目的是依據(jù)企業(yè)自身業(yè)務，識別出信息系統(tǒng)中存在的主要安全風險，并排列優(yōu)先級，為風險信息計算提供數(shù)據(jù)支撐，進而為提出風險應對措施提供建議?；谏鲜龇椒?，本文提出了企業(yè)信息安全風險自評估模型，如圖1所示。

企業(yè)信息安全風險自評估模型的實施分為范圍確定、資產(chǎn)識別與量化、威脅分析、脆弱性分析、風險分析與計算、風險應對建議6個階段，每個階段的具體任務如圖2所示。

本文提出的自評估模型綜合了企業(yè)自評估的約束條件、風險評估的基本原理、關(guān)鍵環(huán)節(jié)與流程、基本要素度量等，具有以下5個特點：①模型提供了統(tǒng)一的資產(chǎn)、威脅、脆弱性3個基本要素的度量和評價方法，依據(jù)模型中的評價指標可以進行量化和排序。②模型將企業(yè)業(yè)務與風險評估結(jié)合起來，體現(xiàn)了IT服務企業(yè)、服務業(yè)務的理念，在一定程度上反映出了信息安全風險評估對業(yè)務的影響程度和對企業(yè)的價值。③模型滿足信息安全的動態(tài)性要求，適應企業(yè)業(yè)務不斷發(fā)展和調(diào)整的需要。當業(yè)務調(diào)整時，企業(yè)僅需分析業(yè)務信息流，識別出相關(guān)資產(chǎn)、威脅和脆弱性等。④模型滿足信息安全的持續(xù)性要求，企業(yè)可建立相關(guān)制度，將自評估設立為日常性工作。當業(yè)務無法調(diào)整時，自評估活動僅需識別和分析新的脆弱性和威脅信息，從而節(jié)省大量資源。⑤模型具有較強的適應性，適用于不同類型的企業(yè)，企業(yè)可根據(jù)實際情況裁減和優(yōu)化，根據(jù)各自的偏好選擇風險計算方法。

3 結(jié)束語

本文在研究國內(nèi)外風險評估模型、風險分析方法的基礎上，結(jié)合企業(yè)內(nèi)部進行信息安全風險自評估的需求和難點，提出了一種適用于企業(yè)內(nèi)部自評估的信息安全風險評估模型和流程。本文提出的模型為企業(yè)自評估提供方法和思路，在一定程度上解決了其他模型過程復雜、可操作性差的問題。但是，該模型仍需要通過更多的實踐并結(jié)合不同行業(yè)的特點，總結(jié)、歸納各類要素的評價指標和評價方法，進一步簡化和優(yōu)化自評估模型，使之在更大范圍內(nèi)具有通用性，從而為企業(yè)信息安全風險管理提供一定的幫助。

參考文獻

[1]Erik Johansson，Pontus Johnson.Assessment of enterprise information security-an architecture theory diagram definition.Proceedings CSER，2005（3）.

[2]Farahmand，F(xiàn).，Navathe，S.B.，Sharp，GP.，et al.A management Perspective on risk of security threats to information systems.Information Technology and Management，2005，6（2）.

[3]Lin，P.P.System security threats and controls.The CPA Journal，2006，76（7）.

[4]馮登國，張陽，張玉清.信息安全風險評估綜述[J].通信學報，2004，25（7）.

[5]艾明，向宏，康冶平.風險評估中威脅發(fā)生可能性的定量分析方法[J].微計算機信息，2007（23）.

[6]陳亮.信息系統(tǒng)安全風險評估模型研究[J].中國人民公安大學學報（自然學版），2007（4）.

[7]范紅.信息安全風險評估國家標準現(xiàn)狀與展望[J].信息網(wǎng)絡安全，2006（1）.

[8]譚良，佘堃，周明天.信息安全評估標準研究[J].小型微型計算機系統(tǒng)，2006，27（4）.

[9]陳雷霆，文立玉，李志剛.信息安全評估研究[J].電子科技大學學報，2005，34（3）.

[10]汪應洛.系統(tǒng)工程[M].第三版.北京：機械工業(yè)出版社，2003.

本文部分參考文獻因著錄項目不全被刪除。

〔編輯：白潔〕

文章編號：2095-6835（2017）12-0021-02